Vulnérabilité dans l’outil de filtrage Apache SpamAssassin
Date de publication :
CVE-2020-1946 [Score CVSS v3 : 9.8] : Une vulnérabilité dans le mécanisme de vérification des fichiers de configuration de règles (extension en .cf) a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter des commandes systèmes à travers un fichier de configuration malveillant utilisé par le dispositif vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de commandes arbitraires
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions d’Apache SpamAssassin antérieures à 3.4.5 sont impactées par cette vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Apache SpamAssasin vers la version 3.4.5.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
Par ailleurs, il est recommandé de n’utiliser que des canaux de mise à jour ou des fichiers .cf tiers provenant de sources sûres.